Истинно случайные числа в масштабе — перегруженные микросхемы памяти генерируют действительно случайные числа для шифрования

В течение многих лет действительно случайные числа в масштабе были неуловимы. Таким образом, я прочитал это недавнее исследование https://www.newscientist.com/article/2303984-overloaded-memory-chips-generate-truly-random-numbers-for-encryption/ и https://cacm.acm.org/news/257835-overloaded-memory-chips-generate-truly-random-numbers-for-encryption с большой интригой, ожиданием и волнением.

Мой первый вопрос: каковы трудности, связанные с генерацией истинных случайных чисел? Стоимость, практические аспекты, такие как энергопотребление?

Второй вопрос: Что и кто может быть арбитром истинной случайности? т. е. кто решает, что это конкретное число действительно случайно сгенерировано?

1. Основная трудность заключается в том, чтобы найти хороший источник энтропии. Это мера «случайности». Хорошо, если у нас есть значение $сид$ такой, что $H(начальное число)=n$, мы не можем составить последовательность $x, |x|\geq|seed|$ с большей энтропией, т.е. $\forall x : x=f(seed)\land|x|\geq|seed|\ подразумевает H(x)\leq H(seed)$, куда $f$ — некоторый детерминированный алгоритм (PRNG). Энтропия определяется следующим образом: $$ H(X)=-\sum_{x\ \in\ \text{Dom}(X)}\text{Pr}(x)\cdot\text{log}_2\text{Pr}(x) $$ куда $Х$ является случайной величиной. <removed>
   Другими словами, в лучшем случае мы получаем более длинную последовательность с такой же долей «случайности» в ней, как и в самой короткой. Нет способа сгенерировать потенциально неограниченный истинно случайная последовательность с использованием некоторого алгоритма из конечной последовательности без какого-либо дополнительного источника энтропии.
   УПД: не совсем правильно использовать формулу для последовательностей. Но смысл этого абзаца остается в силе: нельзя создать «случайность» из ничего.

2. Ну, это хороший вопрос, потому что мы можем сказать, является ли некоторая последовательность случайной или нет с определенной вероятностью. Единственный способ — использовать статистические тесты. Идеальная (или истинно) случайная последовательность определяется следующим образом: $$ X_\to=\{\zeta_1, \zeta_2, ..., \zeta_n,...\} $$ куда $\zeta_i, i\in\{1,2,...\}$ равномерно распределены на некотором множестве $Х$ случайные величины и в каждом подмножестве $\{\zeta_{i_1},...,\zeta_{i_k}\}$ все переменные независимы. Имея произвольную последовательность, мы можем только проверить ее статистические свойства и сказать, что с высокой (или низкой) вероятностью эти требования выполняются для этих переменных. <redacted to make it more clear>.
   <removed>
   Во всех статьях, которые я читал, действительно случайные генераторы проверяются статистически.К сожалению, я не могу прочитать статью, которую вы упомянули в вопросе, но я думаю, что будет такое же исследование.

Что ж, я полагаю, что мог бы быть потенциальный метод доказательства того, что какой-то генератор производит последовательность с максимально возможной энтропией, но я его еще не видел. Но, возможно, такой метод невозможен. Если есть, то интересно почитать :)

УПД: максимальная энтропия не требуется для истинной случайности. Вот несколько цитат @Paul Uszak:

Такая последовательность [действительно случайно] требуется только монотонно возрастающая колмогоровская сложность. Смещение/корреляция не имеет значения.

TRNG не проверяются на истинную случайность. Их «истина» исходит из понимания недетерминированных физических процессов, создающих выходную колмогоровскую сложность.

УПД: в двух словах: TRNG используют некоторые физические непредсказуемые события для получения последовательности, PRNG используют компьютерные алгоритмы.

Какие трудности связаны с генерацией истинных случайных чисел?

Ощутимых сложностей с генерацией сбрасываемых нагрузок истинных случайных чисел нет. Хагед daemon утверждает, что генерирует мегабиты/с истинной энтропии без какого-либо внешнего оборудования. Хотя я не уверен, что на самом деле означает «в масштабе». Циклическое использование ключа AES каждую минуту соответствует скорости Колмогорова <3 бит/с. При всем уважении, это детская игра даже для домашних мастеров. Посмотрите на фотографии вечеринок на своем смартфоне и задайтесь вопросом, что это за шум на изображении. Если у вас есть ~3000 евро, вы можете купить TRNG со скоростью 240 Мбит/с, в котором используется технология разделения луча. Если бы от этого зависела ваша жизнь, не слишком ли много было бы 2600 долларов? И йолд /dev/случайный будет делать> 30 КБ / час, просто проверяя электронную почту. Удвойте это, если вы исследуете PornHub.

Наиболее вероятная неосязаемая причина, по которой я не должен вдаваться в подробности, отражена в следующем; Спортсменам в Пекине рекомендуют пользоваться одноразовыми телефонами.

Что и кто может быть арбитром истинной случайности?

Только ты.

На очень известном веб-сайте есть ремешок, на котором написано: — Безопасная энтропия? Ваша энтропия. Концепция вычислительной неразличимости означает, что выходные данные Вихря Мерсенна очень похожи на выходные данные /dev/случайный. Это забрать отсюда.

Аппаратный генератор случайных чисел Intel выглядит случайным, но никто в *nix-сообществе ему не доверяет. И поэтому они не должны, учитывая публично подтвержденный NOBUS2 политика. И, к несчастью для вас/нас, невозможно реконструировать многослойный кремниевый кристалл с миллиардами транзисторов.

Эту часть моего ответа можно было бы продолжать тысячи раз, так что я закончу тем, что попытаюсь убедить вас построить источник энтропии самостоятельно, приложив немного усилий. диод (2,08 фунта стерлингов + НДС/20).

2 Получите жестяную шляпу. Действительно толстая рождественская индейка. Запись NOBUS была удалена из Википедии. Делайте выводы сами. Поэтому я направляю вас в WAPO статья с главой ЦРУ/АНБ (тот же парень).